AridSpy mobil skadelig programvare
Nettrusselgruppen kjent som AridViper står bak en serie mobilspionasjeoperasjoner som bruker trojaniserte Android-applikasjoner for å distribuere en spionvarevariant kalt AridSpy. Disse truende applikasjonene ligger på villedende nettsteder som utgir seg for å være legitime meldingsapper, en jobbsøkeplattform og til og med en søknad om palestinsk sivilregister. I mange tilfeller blir legitime applikasjoner kompromittert ved å integrere AridSpys dårlige kode.
Innholdsfortegnelse
AridViper har en lang historie med trusler mot mobil skadelig programvare
Arid Viper, også kjent som APT-C-23 , Desert Falcon, Grey Karkadann, Mantis og Two-tailed Scorpion, antas å være assosiert med Hamas. Siden fremveksten i 2017, har denne gruppen konsekvent brukt mobil malware for sine operasjoner. Historisk sett har Arid Viper målrettet militært personell, journalister og dissidenter i Midtøsten. Gruppen fortsetter å være aktiv og fortsetter å utgjøre en trussel i det mobile malware-domenet.
De nyere aktivitetene har pågått siden 2022, og består av opptil fem forskjellige kampanjer. For øyeblikket er tre av disse kampanjene fortsatt aktive.
AridSpy spres via falske mobilapplikasjoner laget av trusselaktører
Analyse av den siste iterasjonen av AridSpy avslører utviklingen til en flertrinns trojaner som er i stand til å laste ned ytterligere nyttelast fra en Command-and-Control-server (C2) gjennom den første trojaniserte applikasjonen. Angrepet retter seg først og fremst mot brukere i Palestina og Egypt, og bruker falske nettsteder som distribusjonspunkter for de kompromitterte applikasjonene.
Disse villedende applikasjonene fremstår ofte som sikre meldingstjenester som LapizaChat, NortirChat og ReblyChat, og etterligner legitime plattformer som StealthChat, Session og Voxer Walkie Talkie Messenger. I tillegg maskerer en annen app seg som det palestinske sivilregisteret.
En av disse nettstedene, palcivilreg.com, registrert 30. mai 2023, markedsføres gjennom en dedikert Facebook-side med 179 følgere. Appen som tilbys på denne nettsiden er modellert etter en app med lignende navn som finnes i Google Play Store.
Selv om den truende applikasjonen på palcivilreg.com ikke er en direkte kopi av Google Play Store-versjonen, bruker den den legitime appens server for å samle data. Dette indikerer at Arid Viper hentet inspirasjon fra den legitime appens funksjonalitet, men utviklet sitt eget klientlag for å samhandle med den ekte serveren.
Angrepskjede av AridSpy Mobile Malware
Ved installasjon skanner det skadelige programmet etter sikkerhetsprogramvare på enheten basert på en forhåndsdefinert liste. Hvis ingen blir funnet, fortsetter den med å laste ned en nyttelast i første trinn, som maskerer seg som en oppdatering for Google Play-tjenester.
Denne nyttelasten fungerer uavhengig, og krever ikke tilstedeværelsen av den trojaniserte applikasjonen på samme enhet. Avinstallering av det første trojaniserte programmet, som LapizaChat, påvirker derfor ikke AridSpy. Den primære funksjonen til nyttelasten i første trinn er å laste ned neste trinns komponent, som inneholder skadelige funksjoner og kommuniserer med et Firebase-domene for Command-and-Control (C2) formål.
Skadevaren er utstyrt med ulike kommandoer for å trekke ut data fra de infiserte enhetene og kan deaktivere seg selv eller starte dataeksfiltrering når den er koblet til en mobildataplan. Datautvinning skjer enten gjennom spesifikke kommandoer eller utløste hendelser.
For eksempel, når offeret låser eller låser opp telefonen, tar AridSpy et bilde ved hjelp av frontkameraet og sender det til eksfiltrerings C&C-serveren. Imidlertid tas bilder bare hvis det har gått mer enn 40 minutter siden siste bilde ble tatt, og batterinivået er over 15 %.
